如何获取 mongod 实例的公共证书信息

您可以通过浏览器轻松查看实例的证书详细信息。请查看本文以获取更多参考 在浏览器中查看 SSL 证书

您还可以使用此命令从客户端检查此 mongodb 实例提供的证书：

openssl s_client -showcerts -connect实例名称：端口号

有一个小的 python3 程序可以完全满足您的要求（使用 OpenSSL）：

$ certcheck www.example.com:443 serverfault.com
 Host (SNI)      | Port | Crt Issuer    | Delta to expiry           | Status 
-----------------+------+---------------+---------------------------+--------
 www.example.com | 443  | DigiCert Inc  | 213 days, 23:50:03.267476 | VALID
 serverfault.com | 443  | Let's Encrypt | 80 days, 13:04:26.637472  | VALID

请注意，certcheck接受要检查的主机列表，您需要使用 OpenSSL 编写脚本。

仅使用 OpenSSL、sed 和 bash：

$ openssl s_client \
  -servername www.example.com \
  -connect www.example.com:443 2>&1 < /dev/null \
| sed -nre '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' \
| openssl x509 -in - -enddate -noout
notAfter=Dec 25 23:59:59 2021 GMT

来自man x509：

-enddate
    Prints out the expiry date of the certificate, that is the notAfter date.

-dates
    Prints out the start and expiry dates of a certificate.

-checkend arg
    Checks if the certificate expires within the next arg seconds and exits nonzero if yes it will expire or zero if not.

替换www.example.com:443为<your_mongodb_host>:27015。

您可以获得所有 Let's Encrypt 证书的列表，包括它们的到期日期

certbot certificates

您也可以尝试使用脚本自动续订

certbot renew

然后将新获得的fullchain和privkey文件连接到一个pem文件并将其保存在mongodb期望的位置。可以在此处找到执行此操作的脚本：https ://gist.github.com/zabirauf/bda54230ca1335c1cf00e3adba682ee7